リゾルバーの委任ルールのチュートリアル - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

リゾルバーの委任ルールのチュートリアル

委任ルールにより、Route 53 Resolver は指定されたアウトバウンドエンドポイントを介して委任ゾーンをホストするネームサーバーに到達できます。転送ルールは、DNS クエリをアウトバウンドエンドポイントを介して指定されたドメインに一致するネームサーバーに転送するように Route 53 Resolver に通知しますが、委任ルールは、委任 NS レコードが返されたときに指定されたアウトバウンドエンドポイントを介して委任ネームサーバーに到達するように Route 53 Resolver に通知します。Route 53 Resolver は、DNS レスポンスの NS レコードが委任レコードで指定されたドメイン名と一致すると、委任ネームサーバーにクエリを送信します。

Resolver エンドポイントのアウトバウンド委任を使用する手順

  1. DNS クエリの送信元の VPC に、ネットワーク上のリゾルバーへの Route 53 Resolver アウトバウンドエンドポイントを作成します。

    次の API または CLI コマンドを使用できます。

  2. 指定されたアウトバウンドエンドポイントを介してクエリをネットワークに委任するドメイン名を指定する 1 つ以上の委任ルールを作成します。

    CLI を使用した委任ルールの作成例:

    aws route53resolver create-resolver-rule \ --region REGION \ --creator-request-id delegateruletest \ --delegation-record example.com \ --name delegateruletest \ --rule-type DELEGATE \ --resolver-endpoint-id outbound endpoint ID
  3. クエリを委任する VPCs に委任ルールを関連付けます。

    次の API または CLI コマンドを使用できます。

Resolver アウトバウンドエンドポイントでサポートされている委任のタイプ

Route 53 Resolver は、次の 2 種類のアウトバウンド委任をサポートしています。

  • Route 53 プライベートホストゾーンから Route 53 Resolver へのアウトバウンド委任:

    アウトバウンド委任を使用して、プライベートホストゾーンからインターネット上のオンプレミス DNS サーバーまたはパブリックホストゾーンにサブドメインを委任します。このアウトバウンド委任により、プライベートホストゾーンと委任ゾーン間で DNS レコードの管理を分割できます。委任は、DNS 設定に基づいてプライベートホストゾーンのグルーレコードの有無にかかわらず行うことができます。詳細については、「」を参照してくださいプライベートホストゾーンからアウトバウンドへ

  • Route 53 Resolver のアウトバウンドからアウトバウンドへの委任:

    アウトバウンドからアウトバウンドへの委任を使用して、オンプレミス DNS サーバーから同じ場所または異なる場所にある別のオンプレミスサーバーにサブドメインを委任します。これは、プライベートホストゾーンからアウトバウンドエンドポイントに委任する場合に似ています。アウトバウンドエンドポイントでは、オンプレミスのネームサーバーでホストされているゾーンに委任できます。詳細については、「アウトバウンドからアウトバウンドへ」を参照してください。

Route 53 プライベートホストゾーンから Route 53 Resolver へのアウトバウンド委任の設定例

親ホストゾーンが Amazon VPC の Route 53 プライベートホストゾーンでホストされ、サブドメインが欧州、アジア、北米でホストされているネームサーバーに委任されている DNS 設定を考えてみます。すべての DNS クエリは Route 53 Resolver を介して渡されます。

手順に従って、プライベートホストゾーンと Route 53 Resolver を設定します。

アウトバウンド委任のプライベートホストゾーンを設定する
  1. プライベートホストゾーンのセットアップの場合:

    親ホストゾーン: hr.example.com

    $TTL 86400 ; 24 hours $ORIGIN hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ eu.hr.example.com IN NS ns1.eu.hr.example.com. apac.hr.example.com IN NS ns2.apac.hr.example.com. na.hr.example.com IN NS ns3.na.hr.example.net. # Out of Zone Delegation ns1.eu.hr.example.com IN A 10.0.0.30 # Glue Record ns2.apac.hr.example.com IN A 10.0.0.40 # Glue Record
  2. 欧州オンプレミスリージョンのオンプレミスネームサーバーの場合:

    • ホストゾーン: eu.hr.example.com NS IP: 10.0.0.30

    $TTL 86400 ; 24 hours $ORIGIN eu.hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ test.eu.hr.example.com IN A 1.2.3.4
  3. アジアのオンプレミスリージョンのオンプレミスネームサーバーの場合:

    ホストゾーン: apac.hr.example.com10.0.0.40

    apac ネームサーバーは、サブドメインを他のネームサーバーに委任できます。

    $TTL 86400 ; 24 hours $ORIGIN apac.hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ test.apac.hr.example.com IN A 5.6.7.8 engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com ns1.engineering.apac.hr.example.com IN A 10.0.0.80 ns2.sales.apac.hr.example.com IN A 10.0.0.90

    ホストゾーン: engineering.apac.hr.example.com10.0.0.80

    $TTL 86400 ; 24 hours $ORIGIN engineering.apac.hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ test.engineering.apac.hr.example.com IN A 1.1.1.1
  4. 北米のオンプレミスリージョンのオンプレミスネームサーバーの場合:

    ホストゾーン: na.hr.example.net NS IP: 10.0.0.50

    $TTL 86400 ; 24 hours $ORIGIN na.hr.example.net @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ ns3.na.hr.example.net. IN A 10.0.0.50 test.na.hr.example.com IN A 9.10.11.12
Route 53 リゾルバーのセットアップ
  • Route 53 Resolver では、1 つのフォワードルールと 2 つの委任ルールを設定する必要があります。

    転送ルール

    1. ゾーンout-of-zone委任レコードを転送する場合、Route 53 Resolver は最初のリクエストを転送する委任 NS の IP を認識します。

      domain-name: hr.example.net target-ips: 10.0.0.50

    委任ルール

    1. インゾーン委任の委任ルール:

      委任レコード: hr.example.com

    2. ゾーン外の委任の委任ルール:

      委任レコード: hr.example.net

アウトバウンドからアウトバウンドへの委任の設定例

Amazon VPC に親ホストゾーンを配置する代わりに、親ホストゾーンが中央オンプレミスロケーションにあり、サブドメインが欧州、アジア、北米でホストされているネームサーバーに委任されている DNS 設定を想定しましょう。すべての DNS クエリは Route 53 Resolver を介して渡されます。

手順に従って、オンプレミス DNS と Route 53 Resolver を設定します。

オンプレミス DNS を設定する
  1. 中央オンプレミスリージョンのオンプレミスネームサーバーの場合:

    • 親ホストゾーン: hr.example.com

      ホストゾーン hr.example.com、NS IP: 10.0.0.20

    $TTL 86400 ; 24 hours $ORIGIN hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ eu.hr.example.com IN NS ns1.eu.hr.example.com. apac.hr.example.com IN NS ns2.apac.hr.example.com. na.hr.example.com IN NS ns3.na.hr.example.net. # Out of zone delegation ns1.eu.hr.example.com IN A 10.0.0.30 # Glue record ns2.apac.hr.example.com IN A 10.0.0.40 # Glue record
  2. 欧州オンプレミスリージョンのオンプレミスネームサーバーの場合 (欧州、アジア、北米のネームサーバーの設定は、プライベートホストゾーンからアウトバウンドへの委任の場合と同じです)。

    • ホストゾーン: eu.hr.example.com NS IP: 10.0.0.30

    $TTL 86400 ; 24 hours $ORIGIN eu.hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ test.eu.hr.example.com IN A 1.2.3.4
  3. アジアのオンプレミスリージョンのオンプレミスネームサーバーの場合:

    ホストゾーン: apac.hr.example.com10.0.0.40

    apac ネームサーバーは、サブドメインを他のネームサーバーに委任できます。

    $TTL 86400 ; 24 hours $ORIGIN apac.hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ test.apac.hr.example.com IN A 5.6.7.8 engineering.apac.hr.example.com IN NS ns1.engineering.apac.hr.example.com sales.apac.hr.example.com IN NS ns2.sales.apac.hr.example.com ns1.engineering.apac.hr.example.com IN A 10.0.0.80 ns2.sales.apac.hr.example.com IN A 10.0.0.90

    ホストゾーン: engineering.apac.hr.example.com10.0.0.80

    $TTL 86400 ; 24 hours $ORIGIN engineering.apac.hr.example.com @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ test.engineering.apac.hr.example.com IN A 1.1.1.1
  4. 北米のオンプレミスリージョンのオンプレミスネームサーバーの場合:

    ホストゾーン: na.hr.example.net NS IP: 10.0.0.50

    $TTL 86400 ; 24 hours $ORIGIN na.hr.example.net @ 1D IN SOA @ root (20200322001 3H 15 1w 3h) @ 1D IN NS @ ns3.na.hr.example.net. IN A 10.0.0.50 test.na.hr.example.com IN A 9.10.11.12
Route 53 リゾルバーのセットアップ
  • Route 53 Resolver では、フォワードルールと委任ルールを設定する必要があります。

    転送ルール

    1. クエリが中央の親ホストゾーンに転送されるように最初のリクエストhr.example.comを転送するには:

      domain-name: hr.example.com target-ips: 10.0.0.20

    2. ゾーンout-of-zone委任レコードを転送する場合、Route 53 Resolver は最初のリクエストを転送する委任ネームサーバーの IP アドレスを認識します。

      domain-name: hr.example.net target-ips: 10.0.0.50

    委任ルール

    1. インゾーン委任の委任ルール:

      委任レコード: hr.example.com

    2. ゾーン外の委任の委任ルール:

      委任レコード: hr.example.net